AWS Conceptos clave de Microsoft AD gestionado - AWS Directory Service
Esquema de Active DirectoryAplicación de parches y mantenimientoCuentas de servicio administradas por gruposDelegación limitada de Kerberos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Conceptos clave de Microsoft AD gestionado

Sacará más provecho de Microsoft AD AWS administrado si se familiariza con los siguientes conceptos clave.

Esquema de Active Directory

Un esquema es la definición de atributos y clases que forman parte de un directorio distribuido y es similar a los campos y las tablas de una base de datos. Los esquemas incluyen un conjunto de reglas que determinan el tipo y el formato de los datos que se pueden añadir o incluir en la base de datos. La clase User es un ejemplo de un valor class que se almacena en la base de datos. Algunos ejemplos de atributos de la clase User pueden incluir el nombre, apellidos, número de teléfono, etc.

Elementos del esquema

Los atributos, las clases y los objetos son los elementos básicos utilizados para crear definiciones de objetos en el esquema. A continuación, se proporcionan detalles sobre los elementos del esquema que es importante conocer antes de iniciar el proceso de ampliación del esquema de Microsoft AD AWS administrado.

Atributos

Cada atributo de esquema, que es similar a un campo en una base de datos, tiene varias propiedades que definen las características del atributo. Por ejemplo, la propiedad que utilizan LDAP los clientes para leer y escribir el atributo esLDAPDisplayName. La propiedad LDAPDisplayName debe ser única en todos los atributos y clases. Para obtener una lista completa de las características de los atributos, consulte Características de los atributos en el MSDN sitio web. Para obtener más información sobre cómo crear un atributo nuevo, consulte Definir un atributo nuevo en el MSDN sitio web.

Clases

Las clases se parecen a las tablas de una base de datos, y también tienen varias propiedades que es necesario definir. Por ejemplo, objectClassCategory define la categoría de clase. Para obtener una lista completa de las características de las clases, consulte Características de las clases de objetos en el MSDN sitio web. Para obtener más información sobre cómo crear una clase nueva, consulte Definir una nueva clase en el MSDN sitio web.

Identificador de objeto (OID)

Cada clase y atributo debe tener un OID valor único para todos los objetos. Los proveedores de software deben adquirir el suyo propio OID para garantizar su exclusividad. La unicidad evita conflictos en el supuesto de que se utilice el mismo atributo en más de una solicitud para finalidades diferentes. Para garantizar la exclusividad, puede obtener una raíz OID de una autoridad de registro de ISO nombres. Como alternativa, puede obtener una base OID de Microsoft. Para obtener más información OIDs y cómo obtenerlos, consulte los identificadores de objetos en el sitio MSDN web.

Atributos vinculados a esquemas

Algunos atributos están vinculados a dos clases, con vínculos de paso y retroceso. Un excelente ejemplo de ello son los grupos. Si mira un grupo, verá los miembros de ese grupo; si echa un vistazo a un usuario, verá a qué grupos pertenece. Cuando añada un usuario a un grupo, Active Directory creará un vínculo al grupo y después Active Directory añadirá un vínculo para volver del grupo al usuario. Se debe generar un identificador de vínculo único al crear un atributo que se vinculará. Para obtener más información, consulte Atributos enlazados en el MSDN sitio web.

Aplicación de parches y mantenimiento de AWS Managed Microsoft AD

AWS Directory Service para Microsoft Active Directory, también conocido como AWS DS para Microsoft AD AWS administrado, es en realidad Microsoft Active Directory Domain Services (AD DS), que se ofrece como un servicio administrado. El sistema usa Microsoft Windows Server 2019 para los controladores de dominio (DCs) y AWS agrega software a los DCs para fines de administración de servicios. AWS actualizaciones (parches) DCs para añadir nuevas funciones y mantener actualizado el software Microsoft Windows Server. Durante el proceso de aplicación de parches, el directorio continúa disponible para su uso.

Asegurar la disponibilidad

De forma predeterminada, cada directorio consta de dosDCs, cada uno instalado en una zona de disponibilidad diferente. Si lo desea, puede agregarlos DCs para aumentar aún más la disponibilidad. Para los entornos críticos que requieren alta disponibilidad y tolerancia a los errores, recomendamos implementar más. DCs AWS lo parchea DCs secuencialmente, tiempo durante el cual el DC que AWS está parcheando activamente no está disponible. En el caso de que uno o varios de sus DCs miembros estén temporalmente fuera de servicio, aplaza la aplicación AWS de parches hasta que su directorio tenga al menos dos operativos. DCs Esto le permite utilizar el otro DCs durante el proceso de aplicación de parches, que normalmente tarda entre 30 y 45 minutos por DC, aunque este tiempo puede variar. Para garantizar que las aplicaciones puedan llegar a un centro de distribución operativo en caso de que una o varias DCs de ellas no estén disponibles por algún motivo, incluida la aplicación de parches, las aplicaciones deben utilizar el servicio de localización de centros de distribución de Windows y no direcciones de centros de distribución estáticas.

Cómo funciona la programación de aplicación de parches

Para mantener actualizado el software Microsoft Windows ServerDCs, AWS utiliza las actualizaciones de Microsoft. Dado que Microsoft pone a disposición parches acumulativos mensuales para Windows Server, AWS hace todo lo posible por probar y aplicar el paquete acumulativo a todos los clientes en un DCs plazo de tres semanas naturales. Además, AWS revisa las actualizaciones que Microsoft publica fuera del paquete acumulativo mensual en función de su aplicabilidad y urgencia. DCs En el caso de los parches de seguridad que Microsoft califica como críticos o importantes y para los que son relevantesDCs, AWS hace todo lo posible por probar e implementar el parche en un plazo de cinco días.

Cuentas de servicio administradas por grupos

Con Windows Server 2012, Microsoft introdujo un nuevo método que los administradores podían usar para administrar las cuentas de servicio denominado cuentas de servicio administradas de grupo (gMSAs). Al usarlogMSAs, los administradores de servicios ya no necesitaban administrar manualmente la sincronización de contraseñas entre las instancias de servicio. En su lugar, un administrador podría simplemente crear una g MSA en Active Directory y, a continuación, configurar varias instancias de servicio para usar esa única gMSA.

Para conceder permisos de forma que los usuarios de Microsoft AD AWS gestionado puedan crear una gMSA, debes añadir sus cuentas como miembros del grupo de seguridad de administradores de cuentas de servicios AWS gestionados delegados. De forma predeterminada, la cuenta de administrador es miembro de este grupo. Para obtener más informacióngMSAs, consulte Descripción general de las cuentas de servicios gestionados por grupos en el TechNet sitio web de Microsoft.

Entrada AWS de blog relacionada con la seguridad

Delegación limitada de Kerberos

La delegación limitada de Kerberos es una característica de Windows Server. Esta característica otorga a los administradores del servicio la capacidad de especificar y aplicar límites de confianza en una aplicación limitando el alcance hasta el que pueden actuar los servicios de esta última en representación de un usuario. Esto puede resultar útil cuando es preciso configurar qué cuentas del servicio de frontend pueden delegar en sus servicios de backend. La delegación restringida de Kerberos también impide que su g se conecte a todos y cada uno MSA de los servicios en nombre de los usuarios de Active Directory, lo que evita la posibilidad de que un desarrollador deshonesto los utilice indebidamente.

Por ejemplo, supongamos que el usuario jsmith inicia sesión en una aplicación de recursos humanos. Desea que el SQL servidor aplique los permisos de base de datos de jsmith. Sin embargo, de forma predeterminada, el SQL servidor abre la conexión a la base de datos con las credenciales de la cuenta hr-app-service de servicio que aplican los permisos en lugar de los permisos configurados por jsmith. Debe permitir que la aplicación de nóminas de RRHH acceda a la base de datos del SQL servidor con las credenciales de jsmith. Para ello, habilita la delegación restringida de Kerberos para la cuenta de hr-app-service servicio en el directorio de AWS Microsoft AD administrado en. AWS Cuando jsmith inicie sesión, Active Directory facilitará un ticket de Kerberos que Windows utilizará automáticamente cuando jsmith intente obtener acceso a otros servicios en la red. La delegación de Kerberos permite a la hr-app-service cuenta reutilizar el vale Kerberos de jsmith al acceder a la base de datos y, por lo tanto, aplicar los permisos específicos de jsmith al abrir la conexión a la base de datos.

Para conceder permisos que permitan a los usuarios de Microsoft AD AWS administrado configurar la delegación restringida de Kerberos, debe agregar sus cuentas como miembros del grupo de seguridad de administradores de delegaciones de Kerberos AWS delegadas. De forma predeterminada, la cuenta de administrador es miembro de este grupo. Para obtener más información sobre la delegación restringida de Kerberos, consulte Descripción general de la delegación restringida de Kerberos en el sitio web de Microsoft. TechNet

La delegación restringida basada en recursos se introdujo con Windows Server 2012. Proporciona al administrador del servicio backend la capacidad de configurar la delegación restringida para el servicio.